山石防火墻配置

LEADhillstone防火墻配置步驟（以hillstoneSA5040為例講解）廈門領(lǐng)航立華科技有限公司TOC\o"1-5"\h\z需要從客戶方獲取的基本信息3配置步驟3\o"CurrentDocument"配置安全域3\o"CurrentDocument"配置接口地址4\o"CurrentDocument"配置路由4\o"CurrentDocument"配置NAT6\o"CurrentDocument"源地址NAT6\o"CurrentDocument"目的地址NAT6配置策略8\o"CurrentDocument"3.1配置安全域之間的允許策略8\o"CurrentDocument"配置trust到Untrust的允許所有的策略8配置DMZ到Untrust的允許所有的策略9\o"CurrentDocument"配置trust到DMZ的允許策略9\o"CurrentDocument"配置Untrust到DMZ服務(wù)器的允許策略10配置Untrust到Trust服務(wù)器的允許策略10\o"CurrentDocument"配置詳細(xì)策略11配置QOS12配置SCVPN131需要從客戶方獲取的基本信息部署位置：互聯(lián)網(wǎng)出口位置，還是其他，如部署在出口路由器之后等?部署方式：三層接入（需要做NAT，大部分都是這種接入方式），二層透明接入（透明接入不影響客戶網(wǎng)絡(luò)架構(gòu)），混合接入模式（有幾個(gè)接口需要配置成透明接口模式，可以支持這種方式）?外網(wǎng)出口信息：幾個(gè)出口，電信Or網(wǎng)通，外網(wǎng)IP地址資源（多少個(gè)），外網(wǎng)網(wǎng)關(guān)（防火墻默認(rèn)路由設(shè)置）安全域劃分：一般正常3個(gè)安全域，Untrust（外網(wǎng)）、Trust（內(nèi)網(wǎng)）、Dmz（服務(wù)器網(wǎng)段），也可以自定義多個(gè)?外網(wǎng)接口IP地址：由客戶提供?內(nèi)網(wǎng)口IP地址：?如果客戶內(nèi)網(wǎng)有多個(gè)網(wǎng)段，建議在客戶中心交換機(jī)配置獨(dú)立的VLAN網(wǎng)段，不要與客戶內(nèi)部網(wǎng)段相同。?如果客戶內(nèi)網(wǎng)只有1個(gè)網(wǎng)段，沒有中心交換機(jī)，則把防火墻內(nèi)網(wǎng)口地址設(shè)置為客戶內(nèi)網(wǎng)地址段，并作為客戶內(nèi)網(wǎng)網(wǎng)關(guān)（適用于中小型網(wǎng)絡(luò)）DMZ口IP地址：由客戶提供，建議配置成服務(wù)器網(wǎng)段的網(wǎng)關(guān)；2配置步驟2.1配置安全域默認(rèn)就有常用的3個(gè)安全域了，Trust，Untrust，DMZHillstnneNirwOHfl*慕統(tǒng)?對(duì)量卜用戶"南絡(luò)■HillstnneNirwOHfl*慕統(tǒng)?對(duì)量卜用戶"南絡(luò)■口1_J>?crIISDDISMF宓富月城「叫征If分片80?.11卜的*捋*昉希?WITrQ?iSP船控.珪嫉呷53rto：16?J?：||5Ozl1*4iN-Gg.(SlflSfc由圈MS禎Chfsnfttrust□trust-uri■/ffiuntrust13tnj=t-uTi.dmzatrust-vrD12-tHJEt02岫強(qiáng)ElDIz-untrustH2vsw'tachl0頊1疝12-dmz12v&rtfcdnlDO?VPNHub□trust-vr0弟而HAotnjst-?ri.目Wpub□trust-vri國(guó)血Ehangch^n13bust-vriQlftsun13trust-ur1赤prowyhtnjst-vr1ssivpntnjst-vr1l&S&l13trust-vr1與而squid□trust-iiir1testotrust-Mri.目UDNT1?K.<r2.2配置接口地址HWstonemItwarks。美于0W胃長(zhǎng)存X注韜攔重啟E喚h卜巍■ffiQSlHiS^S：15可頁(yè)：B土zJH■LRH辦*mfc粗胞…卜用1若呻甲時(shí)址府枷嗎賽主魄MAC顧5狀恣用鹽芯踏妝有峙詡M密村世帆格etnemeto/o172.16.201.^24trustQ01C.5403.15dO<<<<.Hl1:迎口1ethemeta,1'!59.fi0A2a38；28untRj^001c.5403.1541<<<<?路ETHHTTnoDIBSTThE答尸辟M(fèi)gn努片BOZ.11etnemeta/iao.a.o.a/anullMicsaos.isia<4<MLgrethemeto/l1D.O?D.QA)Null00ic.54O2.i54t-44L<<@flthflmQtOra5D.60.12.62/23pubMlsc.S4O2.lS42電電宅電口etfiemeta.Ca192,108431,2^24甘*nqdian001^3403,1543<<<itettiemetO/4192,153.52,254/24SJ1O01G5W3,1544〈.電地電口ethemetO/S152.16351.^2^proxy001c54O3.15d5%<<<@ememeta/fi17245A6.V24&QuidCM1G54O2.1546<4ML<|^effiemetfl/-?/30tea001C-54O3.154-7<4LML<@ethemetO/SD.Q-.D.a/ONULL001^5402.1546ML電岑ML園athamata/Qa.a.D.Q/aNULL001C-5403.154DML虹*MLK矚火靖,岫k岫京?Will3CVFKvsntdllflO.Q-D.a/aNULL&31C.54O3.155C<<<MlN4■卜dC?*監(jiān)映ZJ2.3配置路由默認(rèn)路由：其中指定的接口：Untrust（外網(wǎng)）接口，如果有多個(gè)出口，可以在這選擇不同的接口。其中網(wǎng)關(guān)為跟FW互聯(lián)設(shè)備接口的地址，比如3是電信給的出口網(wǎng)關(guān)地址。

HfllstoneN?*nrw=Q-FfHfllstoneN?*nrw=Q-Ff?系統(tǒng)"r瞰r用戶摧口喝仙-n的障rt疆路曲通授口的13I*信里rg西物隴由■1FnmzpUK?HIHBSIWnl^Fft"好卸丘IEk防火信目削留由如衰＜魅建.世有［PtUJfFTK-ffWRXJLa.a.D.o/o59-60.12.33etfiemetQ/151Qi目的路由配胃10iw00i,目的ip|d.d.d.d詢JLa.a.D.o/o59-60.12.33etfiemetQ/151Qi目的路由配胃10iw00i,目的ip|d.d.d.d詢00i￡子瞰盼|D.a.D.O-旬宣00i零下一跣廣r..T.■■-i*.ii主機(jī)aai授口|ethciTittDi'l工|1ai血|s孔泡isE10iwttASJiIl~-U-255,^^110Qi111[1^255.feJ1]詢00iffii瑚走理Tfl10iaai▲172.16.201.^22etfiem-etQiitl珈aaiJki172.17_D.0；16192-16E.151.1■ediemecQ/3i0iw4172.163^2.0/24172-16.201.1ethemetfi/Oiaiffid172.103-7.0/2^1172-ia.2Dl.latfiam4ba/0iaiAltunnel100iHillstunefl~E~—F'-fl”關(guān)于g助■保存4注韜習(xí)重啟En網(wǎng)?系就-目融培由破卷齡.：眼順：底L回并4■V>Jo粗新建…k用尸［嘛火唳庵可FK展口憂枕tftffl權(quán)值操作▲D.OuD.O/O59-60.12833etnernetD/1101擇口▲10.5-135.206/32192.1-53.1514ethemetD/3蒂嘉101?SUKEllRfiBa￡D01_x.主710Q1SKrirmos?Hi[就床H,*目的tp110,0-135JO攻001▲■干網(wǎng)K嗎fTt|255.5552550~廣月是（t姓口主加D01.5iTWF博前雷略外Fkair中螢口哄lerhemeHl.n|192.16E：.151.1|r:0>i而|1'1-m'、rL)主扒D0'1METIBS|1i1-53E1)1aiDDES▲瘢-j取福jD01rrr*卷尸/if務(wù)玲t(yī)tf.IX?A▲]7Z,17,0-D/]017Z.10B.2,0/24ig^ricsasj.i172-1&20L1ethemetD/3ethemeto.^)ethemetO/QtylL:ii疝li,B1XJB▲”己1弭裁刷172rl&2D].lHT：￡iJ3^0■NEt—WORK~EeiMUTAK二1￡助#合沽障R?關(guān)于由幫助自保存夕注焦舊重啟▼I2.4配置NAT2.4.1源地址NAT內(nèi)部網(wǎng)絡(luò)訪問互聯(lián)網(wǎng)NAT,選擇互聯(lián)網(wǎng)出口接口為eth0/1,配置接口地址就為NAT地址，并配置動(dòng)態(tài)端口，啟用Sticky（啟用這個(gè)會(huì)更好的利用接口的資源）。NEt—WORK~EeiMUTAK二1￡助#合沽障R?關(guān)于由幫助自保存夕注焦舊重啟▼Iu福由黑UUST-MfTOC\o"1-5"\h\zHAlfl~3'iS坷址質(zhì)地址母L[FWt■叫畀[Any旦目f也址苗r[pkut"rtitnr|Any三,tiJSO|cth0-00^0/1刁■'行為rTflJWTQNAT"Niinctr地址用r[R^jj：整出建口】p職r日志p6用'明：廣恰志廣3b￡ip用動(dòng)本W(wǎng)口5trtkyP啟用aID1（只有配置了源地址NAT，內(nèi)部網(wǎng)絡(luò)才能上互聯(lián)網(wǎng)）2.4.2目的地址NATip映射，把外網(wǎng)一個(gè)ip地址完全映射到內(nèi)部一臺(tái)服務(wù)器，具體如下，創(chuàng)建ip映射

Histone0TifSk?燈皿劃“瞄,注銷皿啟'目時(shí)ATIPRWA任dEKJK由置^^"3H51BM2JLL-rt：-|5A.60.1^,563，防枷典齡即址limmAKNJdMMRTTZI-就定職清1&EA.Tri的住s.t.wir會(huì)編也卜VFHKSCWJFt如G卜ST控?日志Ifi轟端口映射，把訪問外網(wǎng)某個(gè)地址的指定端口映射到內(nèi)部服務(wù)器的指定端口，具體配置如下:新建>選擇端口映射3配置策略3.1配置安全域之間的允許策略配置初始允許策略（在做測(cè)試，或者部署前，首先配置允許策略，讓策略先全部允許；測(cè)試聯(lián)通性沒問題了，如路由，NAT都沒問題了，才來做策略的優(yōu)化，比如限制允許的服務(wù)等）3.1.1配置trust到Untrust的允許所有的策略3.1.2配置DMZ到Untrust的允許所有的策略3.1.3配置trust到3.1.3配置trust到DMZ的允許策略HillstoncRErWORKS3.1.4配置Untrust到DMZ服務(wù)器的允許策略?差于糖帶助H琨有爐注帝目重啟血謁空至域MFH用堵-me?目的S±K?目的地址BUT季出險(xiǎn)#HillstoncRErWORKS謁空至域MFH用堵-me?目的S±K?目的地址BUT季出險(xiǎn)#■應(yīng)用「?劇雄|?行為耿有*VFKfSC￥Fa*日志報(bào)去3.1.5配置Untrust到Trust服務(wù)器的允許策略（有時(shí)候我們的客戶有需要從Untrust訪問Trust內(nèi)部地址的需求，同樣要先做目的NAT,然后配置從Untrust到Trust的允許策略）Hi/istoncWFT*L，"關(guān)于口精助螳保存夕注銷明重啟IS73*卬用戶二防火增BUhT攻主防護(hù)~s?r會(huì)話毗I厘用isna；成潮卜煒病毒?ri?NQoS"US日林米目的安全域時(shí)漏去'行為K.ift3.1.6配置詳細(xì)策略配置地址簿渤ID地址成伺“英型房]ptt址廣[p?offlr王翻：5卷廣地址母?房員|L7Z.la.l.l_|/[|32立斯耳配奇盛裾配置服務(wù)組，可以自己新建服務(wù)組，服務(wù)組可以選擇預(yù)定義好的服務(wù)維關(guān)于祥帶助h保存戶注艄切重啟，寡SE二詼MeiH闕家*，理用kflPiNPSCVFiB*q槌?日志擢未OA_service肝有地迎JE省斯看麒殳JB蓉甘~—J—-1|1__名荷操作notes廚即時(shí).1血RO4i_S*rwic<麗氏用P2PUa供敝件網(wǎng)路由諛里企,巧有目定幻E務(wù)序看目定殳眠苗宙imaiLserb-ice基踵旦tHS贛[|3A_snrKca可用芯〔1131字筑〔MW非利〕順員AIM*司AnyDSL百虞"百5#融電理B6E.ee*B-jPai*CHARGS^cvr醐JCFTFST炒般筆件大戲DCERPC-*DHCP*DHCP-RehYzJ二?iinabc-sHTTPPOP3OA_servii：esnis_seniKi=!Lw-i"hr—rvir—、些TtoH11_l±J4配置QOS在外網(wǎng)接口，即Untrust口，配置對(duì)P2P的下載限制，注意上行帶寬要設(shè)置為小一點(diǎn)，這樣HfllstumHETWHI效果會(huì)更好。羔于葬幫助曰毋存爐注銷巨重啟E陌箕SCWSI:|.||fHfllstumHETWHI箕SCWSI:|.||f*..滿EthernetO/1二|，：箕塵域j.untrust)<-nr用疝±\ALMK二］P2PTftAOL百ST寸虧度HL酬定譏B65&e"BGPETZJaPx'PWffl|叫叫05(1F字股SQ￥?itq點(diǎn)混03?S±:：，.；Tr”直r-17,.十*=if+n下壯f：i"_JtAsSQ￥?itq